Hameçonnage

TABLE DES MATIÈRES

PRÉSENTATION DU DEMANDEUR ET DU MANDAT        1

PRÉSENTATION DU PHÉNOMÈNE        2

De quoi s’agit-il?        2

Cadre légal        2

Étendue du phénomène        4

Que peut-on apprendre de la littérature?        4

MÉTHODOLOGIE        5

ILLUSTRATION PRATIQUE ET ANALYSE        7

Les méthodes fréquemment utilisées        7

Quel est le profil des individus qui s’y adonnent?        8

Quelles sont les principales étapes?        8

Comment fonctionne l’hameçonnage?        9

PISTES DE SOLUTIONS        12

CONCLUSION        13

BIBLIOGRAPHIE        15

ANNEXES        17

Annexe A : Exemple d’un faux site AccesD        17

Annexe B : Exemple #1 de fraude PayPal par courriel        18

Annexe C : Exemple #2 de fraude PayPal par courriel        19

Annexe D : Exemple d’hameçonnage        20

Annexe E : Exemple de vrai courriel Paypal        21

Annexe F : Commentaires tirés d’un blogue Desjardins        22

PRÉSENTATION DU DEMANDEUR ET DU MANDAT

PayPal est une compagnie américaine cotée en bourse et capitalisée à plus de 50 milliards de dollars^[1] qui permet aux acheteurs et aux vendeurs d’envoyer et de recevoir des paiements en ligne. Il s’impose comme un leader dans son domaine et compte à cet effet plus de 100 millions de comptes répartis dans 202 pays et échange des fonds dans 25 devises étrangères.^[2]

En pratique, PayPal permet à un particulier d’enregistrer dans son compte en ligne ses renseignements bancaires relatifs à des comptes débit ou à des cartes de crédit. L’utilisateur se connecte ensuite à son compte PayPal qui sert d’intermédiaire au moment de régler une transaction en ligne. L’utilisation du service de PayPal permet ultimement à l’usager de faciliter les transactions et d’éviter de divulguer directement les données de sa carte de crédit ou de son compte bancaire à tous les marchands en ligne avec lesquels il fait affaire^[3].

Les serveurs de PayPal sont évidemment protégés et toutes les transactions réalisées sont cryptées.^[4] L’accès aux données bancaires de ses utilisateurs pour des fins illicites s’avère incidemment un défi technique considérable. Une multitude de pirates informatiques se tournent donc vers l’alternative que représente l’hameçonnage afin d’inciter malicieusement les utilisateurs moins avertis à divulguer d’eux-mêmes les données protégées relatives à leur compte.

PRÉSENTATION DU PHÉNOMÈNE

De quoi s’agit-il?

Il convient en premier lieu de s’attarder sur la définition même du phénomène d’hameçonnage sur lequel portera cet ouvrage. La Gendarmerie royale du Canada définit l’hameçonnage comme suit :

L’hameçonnage est un terme général utilisé pour décrire l’envoi, par des criminels, de courriels, de messages textes et de sites Web qui sont conçus pour avoir l’air de provenir d’entreprises, d’institutions financières et d’organismes gouvernementaux légitimes bien connus et qui visent à tromper le destinataire afin de lui soutirer des renseignements personnels, financiers ou de nature délicate. On appelle également ce crime « usurpation de marque ».^[5]

L’une des déclinaisons du phénomène les plus courantes dans le cas de PayPal est l’envoi par des pirates d’un courriel qui semble provenir de la banque en ligne. L’accent est alors mis sur une problématique relative au compte ou sur une compromission de sa sécurité nécessitant une intervention urgente. La personne visée est invitée à envoyer les informations relatives à son compte ou à cliquer sur un lien afin de les y inscrire.

Cadre légal

De par l’absence de frontières physiques qui caractérise Internet, les infractions commises par les auteurs d’hameçonnage varient avec les frontières qui sont franchies. Nous nous concentrerons toutefois sur les infractions propres aux lois canadiennes en la matière. Il va sans dire que l’hameçonnage est illégal et les infractions suivantes au Code criminel sont commises aux différentes étapes inhérentes à la commission du délit.

1. Fraude, art. 380(1) a) & b) du C.Cr. La fraude représente généralement la finalité de l’hameçonnage, à savoir d’obtenir un gain financier par supercherie. La gravité de la peine et le mode de poursuite sont corrélés à la valeur de la fraude, principalement selon que sa valeur dépasse ou non 5000 $.

1. Vol d’identité, art. 402.2 (1) & (5) du C.Cr. Le simple fait d’obtenir ou de posséder des renseignements identificateurs d’une autre personne dans des circonstances laissant croire qu’ils seront utilisés dans l’intention de commettre notamment une fraude constitue une infraction.

1. Trafic de renseignements identificateurs, art. 402.2 (2) & (5) du C.Cr. Le fait de rendre accessible, donner, offrir en vente, etc. tout renseignement prévu au point précédent constitue également une infraction criminelle distincte.

1. Fraude à l’identité, art. 403(1) & (3) du C.Cr. Il s’agit généralement de l’étape subséquente au vol ou au trafic d’identité. Le pirate commet une infraction dès qu’il se sert des renseignements obtenus afin de se faire passer pour le propriétaire légitime du compte, par exemple afin de faire un virement bancaire.

1. Utilisation non autorisée de données relatives à une carte de crédit, art. 342(3) du C.Cr. Là encore, la possession, l’usage ou le trafic de données d’un authentifiant personnel est interdit. Cette infraction spécifique existe lorsque l’objet des données est une carte de crédit.

1. Escroquerie : faux semblant ou fausse déclaration, art. 362 (1) & (2) du C.Cr. Cette infraction pourrait par exemple être commise si les renseignements acquis sont utilisés afin de demander du crédit.

Cette analyse des infractions criminelles commises qui ne se veut pas exhaustive ne laisse aucune place à l’interprétation. L’hameçonnage est sans équivoque une pratique criminelle et le type et la gravité du délit varie selon l’ampleur de la fraude et de l’étape du processus. Bien que le cadre légal semble suffisant, les difficultés demeurent plus dans l’application de ces lois et dans la réponse qu’offrent les tribunaux lorsque des procédures sont ensuite intentées.

...